新時(shí)代 新安全 看安全技術(shù)發(fā)展趨勢(shì)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

如何更好的進(jìn)行安全防護(hù)？只有遵循安全技術(shù)的發(fā)展趨勢(shì)，及時(shí)根據(jù)安全形勢(shì)動(dòng)態(tài)調(diào)整安全策略，站在智能安全建設(shè)的角度，企業(yè)和運(yùn)營(yíng)商的安全建設(shè)才會(huì)上一個(gè)新臺(tái)階。

隨著網(wǎng)絡(luò)安全威脅的日益嚴(yán)重，用戶(hù)也開(kāi)始關(guān)注安全的建設(shè)。而現(xiàn)階段的安全威脅在種類(lèi)上越來(lái)越豐富，攻擊形勢(shì)也開(kāi)始多樣化。從早期的病毒蠕蟲(chóng)到現(xiàn)在非常普遍的惡意代碼，盜號(hào)木馬、間諜軟件、網(wǎng)絡(luò)釣魚(yú)以及大量的垃圾郵件等，無(wú)一不給用戶(hù)的正常應(yīng)用帶來(lái)了嚴(yán)重的安全威脅。受到攻擊的用戶(hù)輕則黑屏死機(jī)，重則造成個(gè)人經(jīng)濟(jì)利益上的損失。同時(shí)，針對(duì)服務(wù)器的Web應(yīng)用層攻擊(包括SQL注入及跨站腳本攻擊等)成為目前的流行方式，造成大量對(duì)外提供業(yè)務(wù)的服務(wù)器的網(wǎng)頁(yè)篡改或者服務(wù)器癱瘓拒絕服務(wù)等。

安全威脅的演變直接推動(dòng)了安全技術(shù)的發(fā)展，回顧安全產(chǎn)品和解決方案的發(fā)展歷程，我們可以看到，新形勢(shì)下安全技術(shù)的發(fā)展有以下顯著特點(diǎn)：

1) 從技術(shù)發(fā)展的角度看，深度的內(nèi)容安全是目前熱點(diǎn)的技術(shù)研究方向

在安全建設(shè)的初級(jí)階段，安全防護(hù)主要依靠的是傳統(tǒng)的防火墻包過(guò)濾技術(shù)，入侵檢測(cè)技術(shù)以及防病毒技術(shù)等“老三樣”產(chǎn)品，這些產(chǎn)品在安全防護(hù)的初期階段發(fā)揮了積極的作用，但是在新的安全威脅形勢(shì)下，這些產(chǎn)品已經(jīng)不能完全代表安全技術(shù)的形象。面對(duì)新的不同種類(lèi)的安全威脅，我們必須要有新的技術(shù)手段進(jìn)行識(shí)別和防護(hù)，而基于內(nèi)容的深度安全分析已經(jīng)成為目前的熱點(diǎn)方向，包括基于特征匹配的深度分析以及基于行為識(shí)別的內(nèi)容分析技術(shù)等?；谔卣鲙?kù)簽名的深度報(bào)文特征匹配是目前比較通用的一種方式，通過(guò)對(duì)報(bào)文的深度內(nèi)容分析，獲取安全攻擊的典型特征，通過(guò)特征庫(kù)匹配實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的入侵檢測(cè)和防御;或者通過(guò)跟蹤協(xié)議的狀態(tài)交互，并通過(guò)和學(xué)習(xí)到的協(xié)議狀態(tài)機(jī)模型來(lái)比對(duì)協(xié)議是否發(fā)生異常，從而檢測(cè)出當(dāng)前網(wǎng)絡(luò)是否存在攻擊發(fā)生。此外基于行為的模型學(xué)習(xí)和智能分析也成為目前最為有效的一種手段，通過(guò)對(duì)大量攻擊行為的模擬和行為特征分析可以提前預(yù)知攻擊行為的發(fā)生并及時(shí)告警和響應(yīng)，從而規(guī)避風(fēng)險(xiǎn)。同時(shí)需要考慮的是安全不是一個(gè)靜態(tài)的過(guò)程，因此及時(shí)跟蹤最新的安全漏洞，研究新的安全威脅的行為就顯得尤為重要。

2) 從產(chǎn)品演變的趨勢(shì)看，多功能的UTM已經(jīng)成為新一代中低端防火墻的發(fā)展方向

為了實(shí)現(xiàn)對(duì)各種安全威脅的防護(hù)，在Internet出口，企業(yè)往往需要考慮多種安全產(chǎn)品的集合部署，這種串葫蘆式的部署方式，更多的是各種安全設(shè)備簡(jiǎn)單的堆砌，不僅增加了設(shè)備的采購(gòu)成本，而且加大了后續(xù)安裝維護(hù)的難度，這對(duì)于大部分企業(yè)來(lái)說(shuō)絕非一個(gè)理想的選擇。而集成多功能的UTM安全網(wǎng)關(guān)的出現(xiàn)，由于其all in one的優(yōu)勢(shì)，代表了新一代防火墻的發(fā)展趨勢(shì)，受到了眾多用戶(hù)的青睞。優(yōu)秀的安全網(wǎng)關(guān)可以從以下幾個(gè)方面來(lái)衡量：

1、性能是否夠高：這是安全網(wǎng)關(guān)的根本要求，沒(méi)有性能作為支撐，再好的功能也沒(méi)有用武之地，這也是早期部分廠(chǎng)商推出的UTM網(wǎng)關(guān)的致命弱點(diǎn)，全功能開(kāi)啟的性能參數(shù)比純粹防火墻的性能參數(shù)下降很大，甚至降為十分之一，這是用戶(hù)無(wú)法接受的。新一代的UTM網(wǎng)關(guān)產(chǎn)品得益于硬件平臺(tái)的發(fā)展，在這個(gè)方面已經(jīng)不是瓶頸。

2、特性是否完整：為了應(yīng)對(duì)各種新型的安全威脅，多功能的安全網(wǎng)關(guān)除了對(duì)傳統(tǒng)的交換路由支持外，對(duì)于FW/VPN，防病毒，防垃圾郵件以及基于Web的內(nèi)容過(guò)濾等功能的支持也是必然的要求。需要強(qiáng)調(diào)的是：多功能集成并不代表是功能的簡(jiǎn)單堆砌串行處理，而是要在各功能的處理流程上進(jìn)行整合，通過(guò)并行處理和內(nèi)部信息交互等技術(shù)來(lái)實(shí)現(xiàn)效率和功能的平衡。

3、功能是否專(zhuān)業(yè)：由于安全技術(shù)點(diǎn)多而且相對(duì)分散，僅僅依靠單廠(chǎng)商的力量無(wú)法兼顧到各項(xiàng)技術(shù)的完美實(shí)現(xiàn)。通過(guò)開(kāi)放合作，與業(yè)界知名廠(chǎng)商建立廣泛合作，為用戶(hù)提供業(yè)界最頂級(jí)的解決方案是最為合理的選擇，在這個(gè)方面，具有可持續(xù)性發(fā)展能力的廠(chǎng)商更容易獲得業(yè)界專(zhuān)業(yè)廠(chǎng)商的支持。

4、本地化應(yīng)用是否支持：企業(yè)安全網(wǎng)關(guān)的部署，也需要考慮到本地化需求的支持。隨著國(guó)內(nèi)針對(duì)企業(yè)用戶(hù)Internet出口流量帶寬管理和用戶(hù)上網(wǎng)行為審計(jì)需求的出現(xiàn)，安全網(wǎng)關(guān)廠(chǎng)商也應(yīng)該有足夠的研發(fā)能力可以及時(shí)跟進(jìn)，快速響應(yīng)用戶(hù)的需求，在這個(gè)方面具備強(qiáng)大研發(fā)能力的本土廠(chǎng)商是運(yùn)營(yíng)商理想的合作對(duì)象。

3) 從硬件支撐方面看，基于多核+ASIC的硬件架構(gòu)已經(jīng)成為安全業(yè)務(wù)網(wǎng)關(guān)的主流平臺(tái)

在安全網(wǎng)關(guān)硬件平臺(tái)的演進(jìn)方面，從早期的基于X86通用處理器的架構(gòu)，到后來(lái)的NP架構(gòu)，F(xiàn)PGA架構(gòu)以及ASIC架構(gòu)等，其優(yōu)缺點(diǎn)體現(xiàn)的都非常明顯：

基于通用處理器的集中式架構(gòu)很好的滿(mǎn)足了防火墻靈活多變的應(yīng)用需求，但是性能上的缺陷卻成為其在高端市場(chǎng)或者是多功能網(wǎng)關(guān)市場(chǎng)上發(fā)展的瓶頸問(wèn)題，無(wú)法滿(mǎn)足用戶(hù)的性能需求。而ASIC、FPGA或者NP架構(gòu)的防火墻性能優(yōu)勢(shì)明顯，但是可擴(kuò)展性差，靈活性不足，用戶(hù)必須要為新業(yè)務(wù)的擴(kuò)展投入新的成本，它已無(wú)法適應(yīng)業(yè)務(wù)功能不斷豐富、業(yè)務(wù)需求不斷變化的防火墻的應(yīng)用。因此，具備良好的業(yè)務(wù)擴(kuò)展能力、軟件編程可繼承性、高性能并行處理的多核硬件平臺(tái)成為新形勢(shì)下安全網(wǎng)關(guān)發(fā)展的首選。

基于多核的硬件平臺(tái)，能夠有效的解決多功能和高性能這對(duì)矛盾，使得安全在功能靈活性和設(shè)備性能上均達(dá)到了新的高度。多核處理器將多個(gè)通用的CPU以及一些功能部件集成到一塊芯片中，它良好的繼承了通用處理器高靈活性和高可擴(kuò)展性的特點(diǎn)，業(yè)務(wù)升級(jí)和擴(kuò)展靈活方便，通過(guò)軟件升級(jí)便可以更新系統(tǒng)獲取最新的安全威脅防御功能。同時(shí)，通過(guò)多線(xiàn)程技術(shù)可以充分利用訪(fǎng)問(wèn)內(nèi)存或者I/O時(shí)所必須等待的時(shí)間，盡可能的發(fā)揮多個(gè)CPU的并行處理能力，從而提高了整體系統(tǒng)的性能，高速的核間通訊技術(shù)使得各個(gè)核間、核與其它功能部分之間在同一時(shí)間各自并行的傳遞數(shù)據(jù)，打破了以核間通訊以及系統(tǒng)其他部件間通信的性能瓶頸，使系統(tǒng)性能得到保證。

在中低端安全網(wǎng)關(guān)市場(chǎng)，基于多核的硬件平臺(tái)已經(jīng)成為標(biāo)準(zhǔn)化的支撐平臺(tái)，而在高端安全網(wǎng)關(guān)市場(chǎng)，基于多核+ASIC的分布式架構(gòu)由于各自?xún)?yōu)勢(shì)的結(jié)合也成為主流的設(shè)計(jì)方向。

4) 從解決方案的建設(shè)思路看，要實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)防御，從局部安全到智能安全防護(hù)的轉(zhuǎn)變

在與安全威脅進(jìn)行博弈的過(guò)程中，我們也經(jīng)歷過(guò)頭痛醫(yī)頭的局部安全被動(dòng)防御的尷尬。從安全防御的效果來(lái)看，站在終端用戶(hù)的角度，雖然PC系統(tǒng)安裝了防火墻和各種殺毒軟件，但是仍避免不了蠕蟲(chóng)泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_，而在網(wǎng)絡(luò)層面盡管部署了IDS入侵檢測(cè)產(chǎn)品，但是受制于檢測(cè)算法的局限和硬件平臺(tái)的性能瓶頸，在攻擊檢測(cè)的提前預(yù)警、減少誤報(bào)率，以及發(fā)現(xiàn)攻擊之后的及時(shí)響應(yīng)方面都存在不足。另外，運(yùn)營(yíng)商和企業(yè)的內(nèi)網(wǎng)安全防護(hù)也并不僅僅是防病毒的問(wèn)題，還包括安全策略的執(zhí)行、外來(lái)非法侵入、補(bǔ)丁管理、上網(wǎng)行為審計(jì)以及合規(guī)性管理等方面都是需要考慮的重點(diǎn)。

因此，在進(jìn)行安全威脅的防護(hù)時(shí)，更多的是需要在從整體安全防護(hù)的角度來(lái)看待問(wèn)題，要從Internet接入，桌面終端安全接入，內(nèi)部安全域隔離劃分等方面來(lái)綜合考慮對(duì)業(yè)務(wù)支撐系統(tǒng)的安全加固。需要從被動(dòng)的安全防御向主動(dòng)安全防御的思路轉(zhuǎn)變，從針對(duì)單個(gè)系統(tǒng)、軟硬件及程序本身的安全保障，向關(guān)注應(yīng)用層、關(guān)注用戶(hù)的行為安全的整體安全防御的方式轉(zhuǎn)變，利用主動(dòng)入侵防御的IPS產(chǎn)品來(lái)實(shí)現(xiàn)針對(duì)業(yè)務(wù)服務(wù)器的應(yīng)用層安全防御，通過(guò)SIEM安全事件管理產(chǎn)品實(shí)現(xiàn)對(duì)全網(wǎng)安全事件的分析關(guān)聯(lián)，并基于安全知識(shí)庫(kù)的各種安全策略進(jìn)行響應(yīng)，從而實(shí)現(xiàn)安全威脅的實(shí)時(shí)監(jiān)控和動(dòng)態(tài)的調(diào)整，增強(qiáng)了網(wǎng)絡(luò)安全的智能性。

歸結(jié)起來(lái)，在如何更好的進(jìn)行安全防護(hù)的問(wèn)題上，只要我們遵循安全技術(shù)的發(fā)展趨勢(shì)，及時(shí)根據(jù)安全形勢(shì)動(dòng)態(tài)調(diào)整安全策略，站在智能安全建設(shè)的角度，企業(yè)和運(yùn)營(yíng)商的安全建設(shè)必將上到一個(gè)新的臺(tái)階。（IT專(zhuān)家網(wǎng)）